Реклама. 18+. Рекламодатель ООО "СёрчИнформ", ИНН 7704306397, erid:2SDnjd1F7iy
Image

Миссия выполнима: как DCAP встает на защиту бизнеса

Узнайте, как система обнаруживает уязвимые данные, создает безопасные сценарии их обработки и борется с нарушениями. Вам понравится.

Классификация ИСПДн: как правильно СЕЙЧАС?

Классификация ИСПДн: как правильно СЕЙЧАС?
В 2008-м был выпущен "приказ трех" по классификации ИСПДн. Но при его разработке была допущена ошибка и системы, разделенные на типовые и специальные, могли быть только специальными. И если методика классификации типовых систем на 4 класса была описана там де, в приказе трех, то методики классификации спецсистем не появилось до сих пор. Это позволило проявить креативность и на свет родилось несколько подходов:
- ФСТЭК предлагала теже 4 класса натянуть на спецсистемы.
- ЦБ назвал все системы специальными и классифицировал их по типу обрабатываемых ПДн, а не по их количеству. При этом ЦБ позволил банкам, принявшим СТО, не классифицировать АБС, как ИСПДн.
- Минсвязи, в одной из НИР, предложил 4 класса типовых и спецсистем расширить подклассами, разделяющимися по 6 характеристикам информации.
- НАУФОР решила, что все системы специальные, их 4 класса, но классы отличаются от подхода ФСТЭК и ЦБ.

И в принципе все подходы были равнозначны и особых проблем при их применении не было (ну или почти не было).

Но вот появился проект Постановлений Правительства по уровням защищенности. И он сразу поставил много вопросов именно в контексте классификации. Специальных систем теперь нет, как и типовых. Следовательно придется заново создавать комиссии по классификации. Но проблема даже не в этом. Многие сделали ставку именно на спецсистемы, разработав именно под них и модель угроз и набор защитных мероприятий. А теперь это все под знаком вопроса.

Хуже всего банкам, которые на свой страх и риск решили не классифицировать АБС как ИСПДн. Раньше это еще можно было обосновать хоть как-то. А теперь?.. Спецсистем нет, АБС попадает под определение в ФЗ-152, Постановление Правительства по статусу выше и приказа трех и СТО.

Разумеется, все может быть и не так печально. Возможно появится разъяснение РКН, вводящее переходный период на переклассификацию. Возможно ЦБ вновь договорится с регуляторами и оставит классификацию как есть. Возможно все будет хорошо. А если нет?.. Может стоит уже сейчас задуматься о худшем сценарии событий?..
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
310K
долларов
до 18 лет
Антипов жжет
Ребёнок как убыточный
актив. Считаем честно.
Почему рожают меньше те, кто умеет считать на десять лет вперёд.

article-title

Алексей Лукацкий

FREE
100%
Кибербезопасность · Обучение
УЧИСЬ!
ИЛИ
ВЗЛОМАЮТ
Лучшие ИБ-мероприятия
и вебинары — в одном месте
ПОДПИШИСЬ
T.ME/SECWEBINARS